Virus Filecoder.Sodinokibi - kadiaľ prišiel?
Stroj s Win7 Pro, povolený port na RDP (na routri presmerovaný z vonku na iné, neštandardné číslo portu), nastavené zdielanie vybraných adresárov. Pod názvom Filecoder.Sodinokibi ho pozná NOD. Viac momentálne neviem, toto zobrazil NOD na inom PC pri pokuse uložiť TXT súbor s prekopírovanou výzvou na zaplatenie. Stalo sa to v noci, iné PC boli v tom čase vypnuté. Presnú verziu budem (možno) vedieť až keď budem mať ten PC v rukách.
Otázka je, kadiaľ prišiel? Cez RDP? Využíva nejakú dieru v protokole? Alebo háda meno a heslo? Alebo nainfikoval router (na ten nemám prístup) a následne využil nejakú dieru v zdielaní a pod?
Vypni RDP v Registroch:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000001
"updateRDStatus"=dword:00000000
Vyraz Eset z pozadia systému W7.
Kontrola:
https://howtofix.guide/install-antimalware-fix.exe
No to RDP je tam nutne, takze tadial asi cesta nevedie...
Dobre tomu rozumiem, ze ten install-antimalware-fix.exe ma skontrolovat resp. vycistit virus? Ak je to tak, tak to zrejme radsej preformatujem cele, data su aj tak fuc.
Mne sa skor jedna o to, aby sa to nestalo znova, teda ktoru konkretnu zaplatu skontrolovat, pripadne vzdialene (nedestruktivne) otestovat zranitelnost.
když potřebuju zapnuté rdp, tak jen s režimem "ověření v síti":
záplata vyšla v květnu 2019.
číslo kritického balíku pro w10 nevím, mají pro každý servicepack jiný - a hlavně to m$ látal celý rok. takže asi mít kritické aktualizace z r.2019
ale zase w10 edice 2020 už to má mít zalátané.
už jsme doma, je to kb4499175. dostanu diplomek za pozorné čtení dotazu.
https://martinhaller.cz/bezpecnost/zranitelnosti-rdp-bluekeep-a-dejablue/